[ITコンサル]公開されているセキュリティ関連資料

ITコンサルとしてセキュリティ関連の案件もたまにあるので、よく参照する資料をまとめておく。

目次

  1. 政府機関等の情報セキュリティ対策のための統一基準群
  2. 『高度標的型攻撃』対策に向けたシステム設計ガイド
  3. クラウドに関するセキュリティ
  4. スマートフォン利用に関するセキュリティ
  5. その他のITコンサル関連記事

政府機関等の情報セキュリティ対策のための統一基準群

サイトのトップページURL(平成28年版)はこれ


上記サイト内に配置されている以下資料が幅広い内容が記載されており
セキュリティ施策の網羅性を確認したい場合には参考になる

■政府機関の情報セキュリティ対策のための統一基準(平成28年度版)


統一基準に対する具体的な施策を確認したいしたい場合はこっち。
但しボリュームがあるので統一基準で確認したい事項を特定の上、
こちらを参照するのが効率的。

■府省庁対策基準策定のためのガイドライン(平成28年度版)


セキュリティに関する要件定義をしたいならばこちらが便利。
要件定義の方法がステップを追って説明されているので、この通り実施すれば要件が漏れないようになっている。また、上記の統一基準との整合表もあり。

■情報システムに係る政府調達におけるセキュリティ要件策定マニュアル


『高度標的型攻撃』対策に向けたシステム設計ガイド

統一基準は組織などの観点も入ってますが、これは(表現は正確ではないが)もっと技術的な対策について詳しい。私の理解では、企業を狙う攻撃は高度化しており、特定の標的に絞って標的にカスタマイズされた方法で攻撃してくるため、基本的に1つの手法で守るのでは不足で、攻撃者の攻撃プロセスの則って、多段的に防御する必要がある。というのがこのガイドの基本的な考え方になっている(と理解している)。
対策としては「入口」「内部」「出口」(実際に検討してみるとどの分類に当たるか分かりづらい対策も多いが)があり、もう少し具体的に表現すれば、攻撃者が「入れない対策」、「重要情報にアクセスできない、侵入を検知する対策」、「重要情報を持ち出せない対策」があり、組み合わせて対策を打つ必要があるといっている。

■ 『高度標的型攻撃』対策に向けたシステム設計ガイド

同一ページには対策セットもあり、具体的な施策が確認できるようになっている。

クラウドに関するセキュリティ

唐突に限定的な内容ですが、ここ数年話題に上がることが多いので参考資料をまとめておく。
CSAは、cloud security allianceの略で、名だたる企業を会員をもつ調査・研究団体で、非常によくまとまった資料が閲覧できる。
Salesforceは、クラウドで最も有名なサービス提供企業の一つなので、そこで述べているセキュリティ関連のサービスレベルの事項を確認すれば、多くの企業で関心を抱くセキュリティ項目を確認できる(よく聞かれることは情報を整理して発信しているだろうという考え)。

■ 欧州ENISAのクラウドのセキュリティに関するガイドライン

■ CSAガイダンス資料集

■ Salesforceのセキュリティ関連のサービスレベル


スマートフォン利用に関するセキュリティ

BYOD等でニーズはありそうだが、纏まった文書はあまりない。。。

■ スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書

■スマートフォン&タブレットの業務利用に関するセキュリティガイドライン
※ 私は読んだことないので有益かどうかは不明。。。

■BYODガイドライン2013
※1企業が作成したもののようなので信頼性は定かではない

IoT開発におけるセキュリティ

最近の動向を鑑みてか、IoTにおけるセキュリティの文書も公開されている。

■IoT開発におけるセキュリティ設計の手引き

その他のITコンサル関連記事

コメント

コメントを投稿

このブログの人気の投稿

Python SQLite スレッド間でコネクションの使いまわしは出来ない

以下のエラーが出た。 ProgrammingError: SQLite objects created in a thread can only be used in that same thread.The object was created in thread id 5052 and this is thread id 3176 SQLiteのオブジェクトは作成されたスレッドでしか使えない。とのこと。 そういうもんなのか。。。ちょっと面倒。 ■ サンプルプログラム import sqlite3 class CreateConnection(threading.Thread): connection = sqlite3.connect(':memory:') def __init__(self): threading.Thread.__init__(self) def run(self): sql = 'SELECT col1 from TEST_TABLE' self.connection.cursor().execute(sql) if __name__ == '__main__': sql = "CREATE TABLE TEST_TABLE ( col1 INTEGER );" sqlite3.connect(':memory:').cursor().execute(sql) CreateConnection().start()
続きを読む

slackでgeneralの投稿を全削除する

イメージ
最近slackも日本語化して、海外との槍とも多いことからchatworkからslackへ移行しています。 slackは概ね満足なのですが、1点不満を言うとすれば、ワークスペースという一旦大きなくくりを作らないといけないので、LINEのグループみたいなものを作る点がやや億劫です。 ですが、その点を除けば、概ね機能性は他のサービスの上位互換な気がしています。。。 Slackを仕事で暫く使用しているとると困ったことが発生しました。 それは、generalというデフォルトのチャネルに関してで、全メンバー公開のこのチャネルに色々投稿していたのですが、プロジェクトの途中に権限レベルの異なるメンバーが参加し、そのメンバには見せられない情報をgeneralに投稿してしまっていたからで、当初はgeneralにアクセス制限かければと考えたのですがどうにもそれはできない仕様になっており別の対策をする必要が発生しました。 ということで、今回は以下の対応を取りました。 1. generalの内容をエクスポート 2. generalの内容を別のプライベートチャネルにインポート 3. generalの内容を全削除 1と2はslackの機能で対応可能です。 3は対応できなかったのでPythonで削除することにしました(もちろん手動で一つ一つ削除することは可能です) なお、以下の手順は実行者がオーナーの場合を想定しています。 権限が無ければエクスポート等できない操作があります。 1.generalの内容をエクスポート 以下にアクセスして「エクスポートを開始」をクリックします。 データのエクスポート ※ 事前にワークスペースにログインしておく必要があります。 そのまま準備が完了するまで待ちます。 適当なタイミングで画面リフレッシュ(F5)すると「ダウンロード可能」の文言が現れますのでこれをクリックするとエクスポートファイルをダウンロードできます。 (参考) ワークスペースの管理 2.generalの内容を別のプライベートチャネルにインポート 以下にアクセスして「Slack」行の「インポート」ボタンをクリックします。 データのインポート 「ファイルを選択」ボタンをクリックして先ほどエクスポートしたファイルを選択し、 「インポー
続きを読む

Google location history(JSON形式)をCSVファイルにする

前回の挫折 から、今度はJSON形式で出力したGoogle locaiton historyを、まずはCSVに吐き出すことをしてみた。時間、緯度、経度、高度以外の情報はバッサリ切り捨て。 参考サイト(コード)はこれ https://github.com/Scarygami/location-history-json-converter/blob/master/location_history_json_converter.py ソース import json import datetime import csv class placetime ( object ): def __init__ ( self , je): self .time = je[ 'timestampMs' ] self .longitude = je[ 'longitudeE7' ]/ 1e7 self .latitude = je[ 'latitudeE7' ]/ 1e7 self .altitude = je[ 'altitude' ] if 'altitude' in je else None def __lt__ ( self , other): return self .time < other.time def __str__ ( self ): return "{t} {lg} {lt} {al}" .format( t = self .ftime , lg = self .longitude , lt = self .latitude , al = self .altitude) @ property def ftime ( self ): return datetime.datetime.fromtimestamp( int ( self .time)/ 1e3 ).strftime( "%Y-%m-%d %H:%M:%S" ) @ property
続きを読む